Qilin & Warlock Ransomware: BYOVD-Taktiken zur Deaktivierung von EDRs und Umgehung der Erkennung enthüllt

Blog Allgemeine Nachrichten Alle Autoren Alle Tags
Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar
Alex Vance

Die Eskalierende Bedrohung durch BYOVD: Qilin- und Warlock-Ransomware-Operationen

In der sich ständig weiterentwickelnden Landschaft der Cyberbedrohungen entwickeln hochentwickelte Ransomware-Operationen wie Qilin und Warlock fortschrittliche Umgehungstechniken, insbesondere den Bring Your Own Vulnerable Driver (BYOVD)-Angriff. Diese Methode ermöglicht es Bedrohungsakteuren, legitime, signierte, aber anfällige Kernel-Modus-Treiber auszunutzen, um Ring-0-Privilegien zu erlangen und so kritische Endpoint Detection and Response (EDR)-Lösungen effektiv zu umgehen und zu deaktivieren. Jüngste Erkenntnisse der Cybersicherheitsriesen Cisco Talos und Trend Micro verdeutlichen das alarmierende Ausmaß dieser Operationen, die über 300 EDR-Tools neutralisieren können.

Das BYOVD-Mechanismus in Ransomware-Angriffen verstehen

Die BYOVD-Technik stellt eine erhebliche Eskalation der Fähigkeiten von Bedrohungsakteuren dar. Anstatt eigene bösartige Kernel-Treiber zu entwickeln, die schwer zu signieren und bereitzustellen sind, ohne sofortige Sicherheitswarnungen auszulösen, nutzen Angreifer bestehende Schwachstellen in legitimen, digital signierten Treibern aus. Diese Treiber, oft von namhaften Hardware- oder Softwareanbietern, weisen bekannte Fehler auf, die missbraucht werden können, um beliebigen Code mit Kernel-Level-Privilegien auszuführen.

  • Erster Zugang: Der Angriff beginnt typischerweise mit einem standardmäßigen anfänglichen Zugangsvektor, wie Phishing, der Ausnutzung öffentlich zugänglicher Anwendungen oder kompromittierten Anmeldeinformationen.
  • Treiberbereitstellung: Einmal im System, setzt die Ransomware einen legitimen, anfälligen Treiber (z.B. von einem veralteten Hardware-Dienstprogramm) ein und interagiert mit ihm unter Verwendung von Standard-I/O-Steuerungscodes (IOCTLs).
  • Privilegienerhöhung: Durch das Senden speziell präparierter IOCTLs an den anfälligen Treiber kann der Bedrohungsakteur beliebige Kernel-Modus-Lese-/Schreibprimitive erreichen. Dies ermöglicht es ihnen, Kernel-Strukturen zu manipulieren, Sicherheitsmechanismen zu deaktivieren oder ihren eigenen bösartigen Code in den Kernel zu injizieren.

Qilin Ransomware: Die Täuschung durch 'msimg32.dll'

Die Analyse von Qilin-Ransomware-Angriffen durch Cisco Talos enthüllte eine spezifische und heimtückische Taktik: die Bereitstellung einer bösartigen DLL namens "msimg32.dll". Diese DLL ist nicht nur eine Nutzlast; sie ist maßgeblich an der Orchestrierung des BYOVD-Angriffs beteiligt. Während der genaue anfällige Treiber, der von Qilin ausgenutzt wird, variieren kann, bleibt das Prinzip konsistent:

  • Die msimg32.dll fungiert als Loader oder Orchestrator, der für das Ablegen des anfälligen legitimen Treibers auf dem System verantwortlich ist.
  • Sie interagiert dann mit diesem legitimen Treiber, um die Ausführung im Kernel-Modus zu erreichen, wodurch die Ransomware Sicherheitslösungen deaktivieren kann, indem sie Prozesse beendet, EDR-Callbacks aufhebt oder Sicherheitsrichtlinien auf Kernel-Ebene ändert.
  • Dieser Ansatz bietet eine heimliche und hochwirksame Methode zur Neutralisierung von EDRs, die hauptsächlich durch die Überwachung von Benutzer- und Kernel-Modus-Aktivitäten über verschiedene Hooks und Callbacks funktionieren. Mit Kernel-Level-Zugriff kann Qilin diese Hooks entfernen oder EDR-Prozesse direkt manipulieren.

Warlock Ransomware: Breitere EDR-Deaktivierungsfähigkeiten

Die Forschung von Trend Micro zeigt, dass Warlock Ransomware ebenfalls BYOVD einsetzt und eine noch breitere Fähigkeit zur Deaktivierung von Sicherheitstools aufweist. Die schiere Anzahl der von diesen Gruppen angegriffenen EDRs (über 300) unterstreicht die weitreichenden Auswirkungen und die erforderliche hochentwickelte Bedrohungsintelligenz und Werkzeuge, um Schwachstellen in einer so vielfältigen Palette von Sicherheitsprodukten zu identifizieren und auszunutzen.

Die Gemeinsamkeit dieser Ransomware-Gruppen ist ihr Verständnis, dass EDRs trotz ihrer fortschrittlichen Heuristiken und Verhaltensanalysen letztendlich von der Integrität des Betriebssystemkernels abhängen. Durch die Kompromittierung dieser grundlegenden Schicht kann Ransomware nahezu ungestraft agieren, Daten verschlüsseln und Opfer erpressen, ohne auf nennenswerten Widerstand zu stoßen.

Verteidigungsstrategien gegen BYOVD-Angriffe

Die Minderung von BYOVD-Angriffen erfordert eine mehrschichtige und proaktive Verteidigungsstrategie:

  • Treiber-Blacklisting: Implementieren Sie strenge Treiber-Blacklisting-Richtlinien (z.B. Windows Defender Application Control - WDAC, Hypervisor-Protected Code Integrity - HVCI), um das Laden bekannter anfälliger Treiber zu verhindern. Organisationen sollten diese Listen regelmäßig basierend auf Bedrohungsintelligenz aktualisieren.
  • Endpoint-Härtung: Erzwingen Sie eine strenge Anwendungs-Whitelisting und Privilegienverwaltung. Beschränken Sie Benutzerprivilegien, um die Installation nicht signierter oder nicht autorisierter Treiber zu verhindern.
  • Erweiterte EDR/XDR: Implementieren Sie EDR/XDR-Lösungen mit robuster Sichtbarkeit auf Kernel-Ebene und Integritätsprüfungsfunktionen, die anomale Treiberladungen oder Interaktionsmuster erkennen können.
  • Speicherforensik: Verbessern Sie die Fähigkeiten zur Reaktion auf Vorfälle mit erweiterter Speicherforensik, um Kernel-Level-Rootkits oder Modifikationen zu erkennen, die auf BYOVD hindeuten.
  • Integration von Bedrohungsintelligenz: Kontinuierliche Integration und Umsetzung von Bedrohungsintelligenz bezüglich neu entdeckter anfälliger Treiber und BYOVD-Exploitationstechniken.
  • Patch-Management: Pflegen Sie ein rigoroses Patch-Management-Programm für Betriebssysteme und alle installierte Software, insbesondere Treiber, um bekannte Schwachstellen zu beseitigen.

Incident Response & Bedrohungsakteurs-Attribution mit OSINT-Tools

Bei der Post-Kompromiss-Analyse oder der Attribution von Bedrohungsakteuren ist das Verständnis des anfänglichen Vektors und potenzieller externer Kommunikationspunkte von größter Bedeutung. Tools wie grabify.org können in bestimmten OSINT-Szenarien von entscheidender Bedeutung sein. Obwohl es kein primäres forensisches Werkzeug für kompromittierte Hosts ist, kann es von Forschern genutzt werden, um erweiterte Telemetriedaten – einschließlich IP-Adressen, User-Agent-Strings, ISP-Details und Geräte-Fingerabdrücke – von verdächtigen Links oder Kommunikationen zu sammeln, die während der Netzwerkaufklärung oder Phishing-Kampagnenanalyse beobachtet wurden. Diese granularen Daten helfen bei der Identifizierung des geografischen Ursprungs eines Angriffs, der Profilierung der Angreiferinfrastruktur oder der Bestätigung der Reichweite bösartiger Links, was entscheidende Metadaten für eine breitere Informationsbeschaffung und Linkanalyse liefert. Wenn beispielsweise ein Bedrohungsakteur über einen bestimmten Link oder ein Forum kommuniziert, kann das Einbetten einer Tracking-URL passiv Informationen über deren Zugriffsmuster sammeln, ohne direkte Interaktion. Diese Metadatenextraktion ist entscheidend für den Aufbau eines umfassenden Bildes der TTPs (Taktiken, Techniken und Verfahren) des Gegners.

Fazit

Der Aufstieg von BYOVD in den Ransomware-Operationen von Qilin und Warlock signalisiert eine kritische Verschiebung im Wettrüsten der Umgehung. Verteidiger müssen über traditionelle Benutzer-Modus-Schutzmaßnahmen hinausgehen und tiefergehende Sicherheit auf Kernel-Ebene, robuste Bedrohungsintelligenz und fortschrittliche forensische Fähigkeiten einsetzen, um diesen hochentwickelten Bedrohungen entgegenzuwirken. Eine proaktive und anpassungsfähige Sicherheitsposition ist nicht länger eine Option, sondern eine Notwendigkeit, um kritische Infrastrukturen vor Ransomware zu schützen, die selbst die fortschrittlichsten EDR-Tools zum Schweigen bringen kann.

qilin-ransomwarewarlock-ransomwarebyovdedr-evasionkernel-exploitationcybersecurity